Новости В 2023 году Яндекс выплатил этичным хакерам 70 млн рублей — почти вдвое больше, чем годом ранее

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
28.639
Репутация
11.595
Реакции
61.561
RUB
50
В 2023 году Яндекс выплатил 70 млн рублей участникам программы «Охота за ошибками». Она посвящена поиску уязвимостей в сервисах и инфраструктуре компании.


По сравнению с прошлым годом общая сумма выплат увеличилась почти вдвое. Это связано с запуском конкурсов по различным направлениям «Охоты» с повышенными выплатами, увеличением наград и ростом числа участников программы. В 2022 году Яндекс выплатил исследователям около 40 млн рублей.

В 2023 году Яндекс выплатил этичным хакерам 70 млн рублей — почти вдвое больше, чем годом ранее


В 2023 году Яндекс начал выплачивать повышенные вознаграждения за найденные уязвимости, а также провёл несколько конкурсов по поиску конкретных типов ошибок. При участии в конкурсах награды могут увеличиваться в 10 раз по сравнению с обычными выплатами.

Конкурсы стали большой частью «Охоты за ошибками» — они помогают кратно увеличить количество отчётов и сфокусировать внимание охотников на наиболее важных для Яндекса направлениях безопасности. Например, один из конкурсов был посвящён защите пользовательских данных, задачей «охотников» стал поиск ошибок и уязвимостей, которые могут привести к раскрытию чувствительной информации.

В 2024 году компания выделит не менее 100 млн рублей на вознаграждение этичных хакеров. Развитие программы «Охота за ошибками» — это возможность привлечь больше внешних специалистов, чтобы дополнительно усилить защиту сервисов компании, оперативно исправляя найденные ошибки и уязвимости.

«Мы заинтересованы в росте аудитории «Охоты за ошибками», так как это важная часть проверки наших сервисов на прочность. Сообщество багхантеров состоит из сильных разработчиков, исследователей, специалистов по безопасности. Для них поиск уязвимостей — это возможность использовать свои навыки и усилить безопасность сервисов, которыми они пользуются ежедневно. Для нас — дополнительная помощь в усилении защиты наших сервисов и пользовательских данных, а также возможность оценить безопасность сервисов независимым взглядом», — говорит тимлид продуктовой безопасности Яндекса Иван Чалыкин.

Итоги «Охоты за ошибками» 2023 года​

В 2023 году в «Охоте за ошибками» поучаствовали 528 исследователей. Они прислали 736 отчётов об ошибках, которые соответствовали правилам программы. За 378 уникальных и впервые выявленных находок исследователи получили выплаты. Все критичные ошибки были исправлены.

Самые крупные выплаты 2023 года — 12 млн, 7,5 млн и 3,7 млн рублей — пришлись на конкурс по поиску критичных уязвимостей. За весь год наибольшую сумму в 17 млн рублей заработал этичный хакер, приславший 41 уникальный отчёт. Второе и третье место заняли охотники с общей суммой выплат в 12 и 4,3 млн рублей.

В 2023 году самыми популярными стали отчёты в категории XSS — для их поиска был проведён отдельный конкурс. Подобные уязвимости могут использовать злоумышленники, чтобы обходить политики безопасности сайтов и вставлять вредоносный код на веб-страницы.

«Охота за ошибками» — постоянная программа Яндекса по премированию этичных хакеров — тех, кто разбирается в компьютерной безопасности, находит уязвимости в продуктах IT-компаний и сообщает им об этом за награду. В 2012 году Яндекс первым в России запустил подобную программу. Списки ошибок и уязвимостей для «Охоты», а также размеры денежных наград за их обнаружение можно посмотреть на сайте.


 
Сверху Снизу